用于控制提供程序安全性的注册表项和值
为了增强 Windows Management Instrumentation (WMI) 共享提供程序主机进程 (wmiprvse.exe) 的安全性,我们对使用服务安全标识符 (SID) 保护提供程序主机进程的 Windows 平台进行了一些更改。 这些更改为 WMI 共享主机引入了以下运行模式:安全且兼容。
本主题涵盖以下节:
安全且兼容模式
从 Windows 7 开始,为 WMI 共享主机进程添加了以下两种运行模式:
-
安全模式
-
WMI 提供程序主机进程资源使用服务 SID 进行保护。 只有服务 SID 对这些资源具有权限。
-
兼容模式
-
WMI 共享提供程序主机进程未使用服务 SID 进行保护。 提供程序主机进程允许访问 NetworkService 或 LocalService 帐户,具体取决于托管模型。 有关托管模型的详细信息,请参阅提供程序托管和安全性。
Windows Vista 和 Windows Server 2008:要访问用于控制提供程序主机进程的安全和兼容模式的注册表项和值,必须在 KB 959454 中安装安全更新。 有关详细信息,请参阅 Microsoft 安全公告牌 MS09-012。
注册表项和值
安全且兼容的模式设置通过注册表项指定。 WMI 的注册表项位于注册表中的以下位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\。
添加了以下列表中所述的以下注册表项和 DWORD 值,以控制 WMI 提供程序的行为。
-
SecuredHostProviders
-
此项控制各个提供程序的行为。 此项中列出的所有提供程序始终在安全模式下运行。 Windows 附带的所有收件箱提供程序都列在此项下,默认情况下在安全模式下运行。
此项优先于 CompatibleHostProviders 项列出的提供程序。
-
CompatibleHostProviders
-
此项控制各个提供程序的行为。 此项中列出的所有提供程序始终在兼容模式下运行。 默认情况下,此项为空。
如果提供程序同时在 SecureHostProviders 项i和 CompatibleHostProviders 项中列出,则提供程序在安全模式下运行。
注意
如果 DefaultSecuredHost 项设置为 1 并且已知提供程序无法在安全模式下工作,则 CompatibleHostProviders 项为第三方应用程序提供应用程序兼容性。
-
DefaultSecuredHost
-
全局注册表 DWORD 值,用于确定是在安全模式还是兼容模式下运行未在 SecureHostProviders 或 CompatibleHostProviders 项中列出的所有提供程序。 此 DWORD 值允许管理员决定必须在哪种模式下运行第三方提供程序。 默认情况下,此值设置为零,并且所有第三方提供程序都在兼容模式下运行。 默认情况下,管理员可以通过将 DefaultSecuredHost 值设置为 1,提高计算机的安全性。
注意
DefaultSecuredHost 值不会影响其他注册表项。 SecureHostProviders 项中列出的提供程序仍处于安全模式,CompatibleHostProviders 项中列出的提供程序仍处于兼容模式。
以下为可能的设置:
-
0
-
指定提供程序在兼容模式下运行。
-
1
-
指定提供程序在安全模式下运行。
-
以下列表列出了提供程序可能的注册表设置和关联的运行模式。
在 SecuredHostProviders 下列出 | 在 CompatibleHostProviders 下列出 | DefaultSecuredHost 设置 | 模型 |
---|---|---|---|
否 | 否 | 0 | 兼容 |
否 | 是 | 0 | 兼容 |
是 | 否 | 0 | 安全 |
是 | 是 | 0 | 安全 |
否 | 否 | 1 | 安全 |
否 | 是 | 1 | 兼容 |
是 | 否 | 1 | 安全 |
是 | 是 | 1 | 安全 |
将提供程序配置为在安全或兼容模式下运行
可以使用组策略管理控制台 (GPMC) 来修改注册表项。 有关详细信息,请参阅组策略管理控制台。
以下过程演示如何使用组策略首选项管理安全且兼容的模式设置。 有关组策略首选项的详细信息,请参阅组策略首选项概述。
使用组策略将提供程序添加到安全或兼容模式
打开 GPMC。
创建一个组策略对象 (GPO)。
编辑该 GPO。
浏览到“首选项/Windows 设置/注册表”。
单击右键并选择“新建...”>“注册表”。 此操作提供一个用户界面,你可在其中输入注册表信息。
选择“创建”命令。
选择以下注册表项路径:
安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
兼容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
在“名称”字段中,输入要添加到此项的提供程序的名称。 提供程序名称必须采用以下格式:<命名空间>:<__RELPATH>。 例如 root\cimv2:__win32provider.name="MyProvider"。
在 data 字段中,输入 0。
单击“确定”。
使用组策略从安全或兼容模式中移除提供程序
打开 GPMC。
创建 GPO。
编辑该 GPO。
浏览到“首选项/Windows 设置/注册表”。
单击右键并选择“新建...”>“注册表”。 此操作提供一个用户界面,你可在其中输入注册表信息。
选择“移除”命令。
选择以下注册表项路径:
安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
兼容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
在“名称”字段中,输入要从此项中移除的提供程序的名称。
在 data 字段中,输入 0。
单击“确定”。
以下过程详细介绍了如何修改未在 SecuredHostProviders 或 CompatibleHostProviders 项中列出的提供程序的行为。
使用组策略更改 DefaultSecuredHost 项的默认值
- 打开 GPMC。
- 创建 GPO。
- 编辑该 GPO。
- 浏览到“首选项/Windows 设置/注册表”。
- 单击右键并选择“新建...”>“注册表”。 此操作提供一个用户界面,你可在其中输入注册表信息。
- 选择“更新”命令。
- 选择以下注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM。
- 在 name 字段中,输入 DefaultSecuredHost。
- 在 data 字段中,对于兼容模式,请输入 0;对于安全模式,请输入 1。
- 单击“确定”。